Turre Legal

Luotatko SSL salaukseen, ei kannata

Christopher Soghoian on tutkinut paperissan ”Certified Lies: Detecting and Defeating Government Interception Attacks Against SSL” väärennettyjen SSL sertifikaattien käyttöä valtioiden toimesta tiedustelutiedon keräämiseen. Paperi osoittaa että monien ihmisten luottama teknologia on vain yhtä vahva kuin sen heikoin lenkki. Sertifikaattien myöntäjät, jotka toimivat julkisvallan kanssa yhteistyössä ja myöntävät väärennettyjä sertifikaatteja tuhoavat koko järjestelmän luotettavuuden. Tutkija nimeää mm. VeriSignin, joka on maailman suurimpien sertifikaattitoimittajien joukossa.

The abstract: This paper introduces a new attack, the compelled certificate creation attack, in which government agencies compel a certificate authority to issue false SSL certificates that are then used by intelligence agencies to covertly intercept and hijack individuals’ secure Web-based communications. We reveal alarming evidence that suggests that this attack is in active use. Finally, we introduce a lightweight browser add-on that detects and thwarts such attacks.

Varsinaisesta paperista:

A pro-democracy dissident in China connects to a secure web forum hosted on servers outside the country. Relying on the training she received from foreign human rights groups, she makes certain to look for the SSL encryption lock icon in her web browser, and only after determining that the connection is secure does she enter her login credentials and then begin to upload materials to be shared with her colleagues. However, unknown to the activist, the Chinese government is able to covertly intercept SSL encrypted connections. Agents from the state security apparatus soon arrive at her residence, leading to her arrest, detention and violent interrogation. While this scenario is fictitious, the vulnerability is not.

Paperi näyttäisi olevan huolellisesti tutkittu ja helppotajuisesti kirjoitettu katsaus sertifikaattien ja ”turvallisen” selailun tekniikoihin. Se myös paljastaa kiinnostavaa tietoa selainten eroista ja niihin sisäänrakennetusta luottamuksesta eri varmenteiden myöntäjä yrityksiin ja valtioihin.

Herkko Hietanen
Seuraa minua

Herkko Hietanen

Lakimies, osakas, kauppatieteiden tohtori, oikeustieteen maisteri at Turre Legal
Lakimies, jolla on 15 vuoden kokemus teknologia- ja mediaoikeudenkäynneistä, startup-yrityksistä ja IT-juridiikasta.
Herkko Hietanen
Seuraa minua
  1. Ennen kaikkea: tämä paperi näyttäisi olevan noin 10 vuotta ajastaan jäljessä. Sentralisoidun identiteetinvarmistuksen kumipamppuongelma on ollut tiedossa siitä lähtien kun desentralisoitu web-of-trust (kts. PGP, GnuPG) on ollut sen kilpailija.

    Sähköpostissa yleistyi PGP. HTTP-liikenteen salauksessa yleistyi SSL.

    Ettei tätä ongelmaa ole korjattu kymmenen vuoden aikana edes desentralisoitua luottamusverkostoa standardeihin määrittelemällä, kertoo että kyseessä ei ole vika vaan ominaisuus.